Android Trojaner verschafft sich Root-Rechte und infiziert tausende Systeme

[GalaxyKnight]

Ich hab ein werkseset gemacht und dann sd gelòscht und im boot wipe data und cache gemacht. Reicht das nun?

 

[eelay]

So wie ich es verstehe nicht. Werksreset rührt ja die Systemdaten nicht an...und dort nistet sich der Schadcode ein.

Wie kann man rausfinden ob man eines der Apps mal instlliert hatte? Ich hatte mal einen Taschenrechner versucht aber da gibts ja 1000e...

 

[Thyrion]

Du könntest schauen, ob die Datei /system/bin/profiles existiert (und du nicht den Patch verwendet und du Root-Rechte hast).

EDIT: Interessant wäre es zu wissen, ob nicht gerootete Systeme mit dem Trojaner sich dann auch wie gerootete verhalten (sprich: "Normale" Apps können dann auch Root-Rechte anfordern), oder ob es nur ein "temporäres" Root ist. Dann könnte man den Trojaner ja leicht aufspüren. Solange dieser nicht die Sache mit der oben genannten Datei umgeht.

 

[Lion13]

Das ist eine gute Frage, Thyrion. Wenn ich das bis jetzt Gelesene richtig interpretiere, nutzt das Exploit (also der eigentliche Trojaner "RageAgainstTheCage") die schon länger bekannte Lücke im adbd-Dienst, um diesen Dienst mit Rootrechten zu starten, sich damit selbst Rootrechte zu verschaffen und dann weitere Schadsoftware nachzuladen und zu installieren. Ich denke daher, daß andere Apps damit keinen Rootzugang bekommen...

Und eine solche Backdoor wird einen normalen Factory-Reset inkl. Data-Wipe überleben - ich vermute, daß nur das Flashen einer neuen ROM inkl. System-Wipe da Abhilfe schaffen kann; das hieße aber, daß Root Voraussetzung dafür wäre.

 

[Thyrion]

Und eine solche Backdoor wird einen normalen Factory-Reset inkl. Data-Wipe überleben - ich vermute, daß nur das Flashen einer neuen ROM inkl. System-Wipe da Abhilfe schaffen kann; das hieße aber, daß Root Voraussetzung dafür wäre.

Meinst du für das Entfernen? Das kommt wohl auf das Handy an. Bei HTC gibt es in der Regel RUUs (die brauchen kein Root), bei Samsung den Odin Downloader (braucht auch kein Root) und bei den anderen bestimmt ähnliche Mechanismen.

Für das Festsetzen wäre ja sogar ein S-OFF (im Betrieb beschreibbare SYSTEM-Partition) notwendig, oder?

 

[Lion13]

Meinst du für das Entfernen? Das kommt wohl auf das Handy an. Bei HTC gibt es in der Regel RUUs (die brauchen kein Root), bei Samsung den Odin Downloader (braucht auch kein Root) und bei den anderen bestimmt ähnliche Mechanismen.

Stimmt - habe ich nicht bedacht!

 

[eelay]

Du könntest schauen, ob die Datei /system/bin/profiles existiert (und du nicht den Patch verwendet und du Root-Rechte hast).

Das habe ich auch gedacht. Eine Datei "profiles" existiert nicht. Bzw jetzt schon aber als patch

 

[GalaxyKnight]

Dose datei hat man auch wenn man gerootet hat oder..also hab.ich pech und muss flashen. Hab nur angst dass mir dann die imei oder so verloren geht. Hab gerade gesehen dass ich kein profile im system bin habe..??

 

[Thyrion]

Die IMEI ist fest und wird definitiv nicht durch flashen geändert.

Ich habe zwar Root, aber diese Datei nicht - es kann aber auch an der Root-Methode liegen. Evtl. wird diese Datei ja durch den RageAgainstTheCage-Exploit angelegt - den gab es zu der Zeit, als ich mein Desire gerootet habe ja noch nicht

 

[GalaxyKnight]

@thyrion
heisst das wenn man die datei nicht hat man nicht betroffen ist?

 

[Thyrion]

Das kann ich nicht zu 100% beantworten. Zumindest verhindert die Existenz dieser Datei, dass der Exploit ausgenutzt wird, da der Trojaner diese Datei anlegen möchte - und wohl glaubt bereits erfolgreich gewesen zu sein, falls diese existiert.

Ob er sie zu einem späterem Zeitpunkt wieder löscht, kA.

 

[chris1234]

Dose datei hat man auch wenn man gerootet hat oder..also hab.ich pech und muss flashen. Hab nur angst dass mir dann die imei oder so verloren geht. Hab gerade gesehen dass ich kein profile im system bin habe..??

Die IMEI geht nur verloren, wenn du in Odin die sehr böse Option 'Phone EFS Clear' auswählst. Weiß ich aus schmerzlicher Erfahrung

 

[eelay]

Eigentlich sollten gerootete Geräte eh auf einer ziemlich sicheren Seite sein, man würde dann schließlich eine Superuser anfrage bekommen, die man in der Regel nicht so leichtfertig durchwinkt.

 

[Melle Noire]

Hi!

Ich habe ein ungerootetes Magic
und hier auch viele Apps installiert.
Die meisten davon allerdings schon
seit einiger Zeit und ich bin auch stets
so ziemlich bei meinen Stammapps
geblieben. In jüngerer Zeit kamen
nur wenige neue hinzu, die mir mein
Nachbar empfohlen hat ( chompSMS,
QuickMark & QuickPic ). Ansonsten
gehe ich nur in den Market, um meine
Apps zu updaten, wenn diesbezüglich
etwas anfällt.

Und runtergeschmissen hab ich
grad Shazam.

Von den Apps, die hier im Forum
aufgelistet wurden, kommt mir keins
bekannt vor. Auch keiner der User,
die die verseuchten Apps in Umlauf
gebracht haben.

Interessant finde ich es ja, daß es
inzwischen Kaspersky für Android gibt.
Das wußte ich noch gar net. o.0
Gibts das auch regulär im Market oder
nur auf der Kaspersky-Website?

 

[AndroGirl]

Mist jetzt haben wir den ersten echten Trojaner-Fall ... schon gesehen?

Gefährlicher Android Trojaner im Umlauf, Tausende Smartphones infiziert - Google löscht über 50 Malware Apps aus dem Android Market

Wer Android 2.3 oder 2.2.2 auf seinem Gerät installiert hat, muss den Fix nicht einspielen. Alle anderen haben mehrere Möglichkeiten. Am einfachsten ist die Lücke auf Geräten mit Root-Rechten zu schließen.

DroidDreamKiller löst zwei Aufgaben: Zum einen überprüft die App, ob das System bereits mit DroidDream infiziert ist, zum anderen blockiert es eine mögliche zukünftige Infektion. App installieren, starten, “Create Stop File” wählen und gut ist’s. Die App kann danach problemlos wieder entfernt werden.
Für DroidDreamkiller sind Root-Rechte notwendig.


Download DroidDreamKiller:
https://market.android.com/details?id=com.voilaweb.mobile.droiddreamkiller

Schutz vor DroidDream-Malware per update.zip
Wer kein Root hat, aber ins Recovery-Menü seines Android-Gerätes kommt, kann den Fix auch per update.zip-Datei einspielen. Es gibt zwei Varianten dieser ZIP-Datei, in der Regel sollte man die mit Edify-Support wählen. Nur wenn die Edify-Version nicht funktioniert, stattdessen die “normale” Variante wählen. Folgende Schritte muss man unternehmen, um die ZIP zu installieren:

1. Heruntergeladene Datei in update.zip umbenennen
2. Datei in das Stamnmverzeichnis des internen Speichers auf dem Gerät kopieren
3. Handy in den Recovery-Modus booten (je nach Android-Gerät unterschiedlich, Google nach “Gerätetyp Recovery”)
4. Den Punkt “install zip from sdcard” oder ähnlich auswählen (meist mit den Lautstärketasten und Power oder der Kamerataste)
5. Installieren, neu starten und fertig.

Und hier die Downloads (aus einem Thread bei den XDA-Developers):

• update.zip für Recovery mit edify-Support
• update.zip für Recovery ohne edify-Support

Alle Fixes haben gemein, dass sie eine leere Datei mit namen profile in dem Verzeichnis /system/bin/ erstellen, welche die Zugriffsrechte chmod 644 erhält. Diese Dummy-Datei verhindert, dass sich der Trojaner in seiner jetzigen Ausformung im Android-System einnisten kann. Das ist wohlweislich kein Schutz für spätere Mutationen, aber so ist man zumindest kurzfristig auf der sicheren Seite.



DroidDream-Schutz per ADB
Wer das Android SDK auf seinem Rechner installiert hat, kann die Dummy-Datei auch per ADB shell einspielen. Hier die Befehle:

adb remount
adb shell touch /system/bin/profile
adb shell chmod 644 /system/bin/profile

Was, wenn mein Gerät bereits mit DroidDream infiziert ist?
​

Der Anbieter Lookout bietet eine Rundum-Sicherheitslösung für Android-Geräte an, die offenbar in der Lage ist, die gefährlichen Apps zu löschen. Man kann Lookout Security 30 Tage kostenlos testen, das sollte zur Trojaner-Beseitigung eigentlich reichen.


Download Lookout Mobile Security:
https://market.android.com/details?id=com.lookout

Wer wirklich sicher gehen will, dass sein Handy nach einer Infektion Trojaner-frei ist, muss ansonsten das System zurücksetzen und ein Firmware-ROM komplett neu einspielen. In jedem Fall sollte man zur Sicherheit die Passwörter aller Anwendungen und Webddienste ändern, die auf dem Android-Gerät eingesetzt wurden, insbesondere das des Google-Kontos.
Achtung: Nicht über das Handy, sondern über den PC!

.
.

​

 

[google-loves-data]

wie gut das die hersteller keine updates für alte geräte anbieten

Du hast recht. Das ist ein sehr ernsthaftes Problem in der Android-Welt. Es ist sehr naiv zu glauben Android sei sicher (habe ich schon öfters in diesem Forum gelesen).

 

[Andro-Fun]

Wer Android 2.3 oder 2.2.2 auf seinem Gerät installiert hat,.

​

woher weiss ich, dass ich 2.2.2 habe? wenn ich auf einstellungen -> telefoninfo -> firmware version schaue, steht da 2.2

handy ist ein sgs i9000

wie kann ich das 2.2.2. einspielen falls ich es nicht habe?

wenn ich mein telefon roote verliere ich doch die garantie oder?

 

[Melle Noire]

Also bei mir steht 2.2.1.

Potentiell durch diesen Trojaner
gefährdet sind ja momentan nur
Leute, die sich eine der genannten
verseuchten Apps heruntergeladen
haben, oder? Bzw: Wie lange geisterten
diese Malwareapps überhaupt im
Market herum? Wie schnell wurde
das entdeckt?

@ google: Das war schon vor etwa
anderthalb Jahren mein Reden.
Damals hat man mich aber noch
eher belächelt. Der Market ist mir
jedenfalls schon seit einer ganzen
Weile nicht ganz geheuer, weswegen
ich auch fast nur zum Updaten meiner
Apps kurz dort verweile. Und dann:
Schnell wieder raus... Darum bleibe
ich auch im Wesentlichen bei meinen
"Stammapps"... Bei manchen Sachen
genügen mir gar die mobilen Websites
völlig...

 

[Andro-Fun]

das problem ist, dass ich chess runtergeladen hatte.
aber ich weiss nicht welches es war. ich vermute chess for android.
das kann man aber nicht mehr genau sagen, da ich keinen vergleich mehr habe.
auch steht ja nirgends wie lange das verseuchte chess con myournet drin war.

würde nun gern auch für die zukunft ein update drin haben.

wie kann ich denn an einem samsung auf 2.2.1 oder 2.2.2 updaten?
2.2.2 ist doch bisher nur für nexus oder?

mehrere webseiten raten, dass man das handy an den provider zum umtausch geben soll. ich denke das ist wirklich ne gute idee, wenn denen dann kosten entstehen werden sie sich vielleicht für eine bessere update politik stark machen

 

[Lion13]

@ google: Das war schon vor etwa anderthalb Jahren mein Reden. Damals hat man mich aber noch eher belächelt.

Bislang war der offizielle Android Market relativ sicher - 100 % Sicherheit wird man im übrigen nie haben... Vor den alternativen Märkten (nicht allen), aber vor allem den Warez-Seiten wurde mit Recht gewarnt. Dies ist nun eine andere Dimension, denn m.W. werden alle Apps vor dem Einstellen von Google zumindest kurz geprüft, und diese sind durchgegangen. Zwar hat Google sehr schnell nach der Meldung von phandroid (nur einige Minuten später) reagiert, aber niemand weiß genau, wie lange die Apps im Market verfügbar waren.

Kritisieren muß man Google aber auch aufgrund der Tatsache, daß die Lücke im adbd-Dienst schon länger bekannt ist und erst mit Android 2.3 gefixt wurde - das darf in meinen Augen einfach nicht sein!

wie kann ich denn an einem samsung auf 2.2.1 oder 2.2.2 updaten? 2.2.2 ist doch bisher nur für nexus oder?

2.2.2 gibt es in der Tat bisher nur für das Nexus One - ob es verwundbar ist oder nicht, kann ich nicht mit Sicherheit sagen; auf allen mir bekannten Seiten ist nur von Android 2.3 (also "Gingerbread") die Rede, das von dem Fehler nicht betroffen ist.

Wir sollten hier aber nicht über Android-Versionen diskutieren, dafür gibt es die entsprechenden Hardware-Foren. Inzwischen sind aber etliche Custom-ROMs bekannt, die den oben und in der News erwähnten Patch mit der Datei "profiles" in /system/bin/ schon mitbringen.